Шахраї використовують фейковий додаток «Дія», щоб виманювати в українців дані карток, забирати чужі посилки та виїжджати за кордон. Що з цим роблять Мінцифри та кіберполіція і що можуть зробити самі користувачі.
«Сенсації не сталося. Розходимося». Так пресслужба «Дії» 1 листопада прокоментувала новину про те, що Держприкордонслужба не приймає е-документи в додатку для перетину кордону.
Одна з причин – зафіксований факт підробки додатку, сказав напередодні начальник відділу організації прикордонного контролю штабу Західного регіонального управління ДПСУ Ігор Матвійчук в інтервʼю «Інтерфакс-Україна». Один з чоловіків стверджував, що є багатодітним батьком і показав фейковий додаток з підробленими свідоцтвами про наявність трьох дітей, розповів Матвійчук.
Перетин кордону із цифровим закордонним паспортом у «Дії» не передбачений і ніколи не був упроваджений, йдеться у телеграм-каналі застосунку. Виняток – коли необхідно підтвердити особу при в’їзді в країну, зазначено в законі №1368-IX про е-паспорти.
Проте спроби підробити «Дію», якою користується 19 млн українців станом на травень 2023 року, далеко не обмежуються перетином кордоном. Як захиститися від шахраїв?
Як підробляють «Дію»
Найпоширеніша шахрайська схема — розповсюдження фейкових посилань (фішинг), говорить головний інспектор відділу комунікації Департаменту кіберполіції Артем Олещенко. «Зловмисники дублюють контент та бренд-елементи офіційних платформ, у тому числі Єдиного порталу державних послуг «Дія», – розповідає Олещенко.
Під приводом отримання фінансової допомоги від держави шахраї переконують людей перейти за фішинговими посиланнями. «За задумом аферистів жертва має ввести конфіденційну інформацію – номер банківської картки, термін дії та cvv-код – на підконтрольних зловмисникам ресурсах», – говорить Олещенко.
У серпні 2023-го шахраї створили фейкову сторінку українського порталу державних послуг DIA й обіцяли роздати українцям по 9500 грн, повідомляв Центр стратегічних комунікацій. Взамін просили поділитися пін-кодами карток.
Використання фейкової «Дії» для махінації з виплатами не найгірший кейс, вважає засновник аудиторської компанії з інформаційної безпеки Disl.Tech Андрій Перевезій. «Використання фейку на блокпосту чи на пошті – більш ризиковані випадки», – додає він.
У листопаді 2022 року львівський студент зробив замовлення в одному з магазинів та заволодів персональними даними продавця. Він відмовився забирати посилку від свого імені, зробив повернення на продавця та прийшов забрати її з фейковою «Дією» від його імені. Перший раз забрати посилку безкоштовно вдалося, але з другої спроби шахрайство викрили.
Підробка «Дії» не новинка. Під час пандемії фейкову копію застосунку використовували для генерування COVID-сертифіката та отримання фальшивих цифрових паспортів на будь-який вік. Підробку розповсюджували неофіційними каналами за ціною від 120 до 150 грн. Чи навчилися держоргани боротися із фейковими «Діями»?
Боротьба проти шахрайства
Питанням шахрайства зі своїм найпопулярнішим продуктом Мінцифри напряму не займаються. «Ми не правоохоронний орган», – сказав керівник з розвитку електронних послуг Мстислава Банік у відповідь на запит Forbes. Після історії з підробкою «Дії» у 2021 році у Мінцифри взяло на стажування розробника фейкового додатка. Цей канал працевлаштування у Мінцифри більше не працює, повідомила пресслужба міністерства.
Шахрайськими справами займається кіберполіція, додала пресслужба Мінцифри. Forbes звернувся по коментар до кіберполіції, однак вона не надала розʼяснення про боротьбу з такими схемами. У випадку із львівським студентом проти нього відкрили кримінальне провадження за статтями підроблення документів, замах на шахрайство тощо.
Відповідальність за підробку лежить не лише на шахраях – магазини, пошти та інші сервіси рідко перевіряють інформацію клієнта в додатку. «Вони технічно не можуть або не хочуть у деяких випадках відсканувати QR-код», – каже Перевезій з Disl.Tech.
Ще одна сторона – самі користувачів. Усі кіберінциденти, які досліджував голова підкомітету з питань кібероборони та кіберрозвідки Олександр Федієнко, на 99% сталися з вини користувачів. «Кіберполіція займається злочинами, але кіберполіція не захищає вас, – говорить він. – Неможливо соціальну відповідальність громадян України перекласти на Мінцифри або кіберполіцію».
Як не потрапити на гачок
Кіберполіція рекомендує ретельно перевіряти правильність URL-адреси необхідного сайту. «Навіть найменша невідповідність може означати, що користувач потрапив на фішинговий сайт», – каже Олещенко.
Ще одне слабке місце – мобільні номери за передплатою (припейд). Передплата не вимагає пред’яви документів, підписання будь-яких договорів, а послуги надаються лише при наявності грошей на рахунку. «Якщо у вас припейд номер, ви вже у зоні ризику на 100%», – каже Федієнко. Шахраї можуть перевипустити припейд SIM-картку через дилерів-операторів за $200-300, зазначає він.
З мобільним номером і прізвищем користувача зловмисники можуть вкрасти дані банківської картки, доступ до «Дії», цифровий підпис тощо.
Захиститися від цього сценарію допоможе перехід на контрактний номер телефону, який підв’язаний до паспорта людини, каже Федієнко. Таку SIM-карту зловмисники не можуть перевипустити. Щоб захисти свої дані у «Дії», додаток також варто прив’язати до контрактної SIM-карти.
Також працівники магазину чи пошти мають сканувати QR код електронних документів у «Дії» або ж просити фізичні документи, якщо немає технічної можливості відсканувати, вважає Перевезій.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.